Artikel top billede

NemID: Derfor er vores Java-løsning sikker

Ja, der ER sikkerhedsproblemer i Java, men de rammer ikke din NemID - hvis du blot husker at gøre noget selv, mener selskabet bag løsningen.

Læs også: Java er en bombe under din sikkerhed.
 
Nets, der står bag NemID, afviser, at der er sikkerhedsproblemer i krydsfeltet mellem Java og NemID, selv om virksomheden erkender, at antallet af angreb mod Java er massivt stigende.

"Vi mener, at vi har ramt den rigtige balance mellem brugervenlighed og sikkerhed med den nuværende løsning," fortæller Ulrik Marschal, som er kommunikationskonsulent i Nets.
Han afviser desuden påstanden om, at NemID skubber et sikkerhedsproblem ud til brugeren ved at stille krav om, at der installeres et Java-plugin i browseren.

"Det er rigtigt, at der er sikkerhedsproblemer med Java, men hvis softwaren er opdateret, er sikkerhedsrisikoen meget lille, og vi har endnu ikke set tegn på, at det er en forkert løsning, vi har valgt," siger Ulrik Marschal.

"Men vi har - sammen med myndigheder og banker - en uddannelsesfunktion i forhold til brugerne for at få dem til at opdatere softwaren," erkender han.

Svaret er opdatering

Valget af Java-platformen begrunder Nets blandt andet med følgende:

"Vi anvender Java i NemID, da der er en del funktionaliteter, som bedst løses med denne teknologi. Eksempelvis er der en række kryptografiske protokoller, som sikrer end-to-end-sikkerhed fra appletten og helt ind i det såkaldte Hardware Security Module (HSM) hos Nets DanID," fortæller Ulrik Marschal.

Trods uenighed om ansvar og sikkerhedsproblemstillinger lyder løsningen på højere sikkerhed i den eksisterende Java-løsning samstemmende: Opdatering.

Mange af de sårbarheder, der udnyttes i Java, er nemlig gammelkendte problemer, som kan afhjælpes ved at opdatere til den nyeste version.

Traditionelt har det været besværligt at opdatere Java, ikke mindst fordi de tidligere versioner har været dårligt bygget fra starten.

Ældre versioner af Java er eksempelvis ikke blevet slettet fra harddisken, når en ny version er blevet installeret, hvilket betyder, at angribere stadig har kunnet bruge svaghederne i den gamle version på trods af opdateringen.

Samtidig er det også en relativt ny funktion i programmet, at det automatisk søger efter nye versioner.

"Et af de helt store problemer er, at folk køber en ny computer i Bilka eller Elgiganten med en gammel version af Java installeret, og ikke får opdateret til den nyeste version efterfølgende," fortæller sikkerhedsekspert Peter Kruse fra CSIS.
Tingene er dog blevet bedre, siger de sikkerhedseksperter, som Computerworld har talt med, men det kræver stadig, at man opdaterer til de nye versioner.

Ifølge Oracle, der varetager udviklingen, kører 1,1 milliard desktop-maskiner Java.
 
Læs også: Java er en bombe under din sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere